WhatsApp-Verschlüsselung: Was sie schützt und was lesbar bleibt

Naja !14
Die WhatsApp-Verschlüsselung hält nicht alles geheim.
Die WhatsApp-Verschlüsselung hält nicht alles geheim.(© 2016 CURVED)

WhatsApp verschlüsselt endlich unsere Nachrichten auf allen Geräten. Das ist ein weiterer großer Schritt weg von Überwachung hin zu Privatsphäre. Nachrichten, Fotos, Videos und Dateien können so nicht mehr von Dritten gesehen und gehört werden. Aber nicht alle Daten sind durch diese Verschlüsselung geschützt.

Zusammen mit dem Kryptographie-Experten Moxie Marlinspike haben die WhatsApp-Gründer Brian Acton und Jan Koum in der aktuellen Version des Chat-Programms eine Ende-zu-Ende-Verschlüsselung implementiert. Sie ist so einfach zu nutzen, wie noch kein anderes Kryptographie-Tool bisher.

Was bedeutet Ende-zu-Ende-Verschlüsselung?

Wie der Name "Ende-zu-Ende" schon sagt, werden bei diesem Verfahren die Nachrichten beim Sender verschlüsselt und erst beim Empfänger wieder lesbar gemacht. Alle Zwischenstationen wie zum Beispiel der WhatsApp-Nachrichten-Server oder Hacker, die die Nachrichten abfangen, sehen nur kryptischen Datenmüll.

Das hat den Vorteil, dass selbst wenn die Nachrichten auf dem Weg mitgelesen werden, sie nirgends im Klartext vorliegen. Nur der Empfänger hat den Schlüssel, um die kryptische Zeichenfolge wieder lesbar zu machen. Diese Technik wird zum Beispiel auch bei "Off-the-Record"-Chats (OTR) oder der GPG-Verschlüsselung verwendet, die Edward Snowden damals nutzte, um mit dem Journalisten Glenn Greenwald und Laura Poitras, der Regisseurin vom Snowden-Dokumentarfilm "Citizenfour", zu kommunizieren.

Die WhatsApp-Verschlüsselung funktioniert überall.(© 2016 CURVED)

WhatsApp verwendet das "Signal Protokoll" von Marlinspikes Open Whisper Systems. Dabei werden bei der Installation öffentliche Schlüssel erstellt. Die sind notwendig, damit Euch jemand verschlüsselte Nachrichten schicken kann. Lesbar gemacht werden die eingehenden Nachrichten dann durch eine Kombination aus den öffentlichen Schlüsseln des Senders und dem privaten Schlüssel des Empfängers, den nur er kennt.

Spannend ist dabei die zusätzliche Verwendung von "Einmal-Schlüsseln" pro Nachricht. Stellt Euch einen Stapel Schlüssel vor, die für Euch gelten. Der Sender nimmt sich jetzt einen von Euch und verschlüsselt seine Nachricht damit zusätzlich. Danach wird er kein zweites Mal verwendet, für die nächste Nachricht nimmt er sich wieder einen neuen. Das sorgt für mehr Sicherheit, da abgefangene Nachrichten nicht mehr lesbar gemacht werden können, falls jemand Euren privaten Schlüssel ergaunert hat. Die Verschlüsselung basiert jeweils auf dem Advanced Encryption Standard (AES), der mit 256-Bit-Schlüsseln noch als sicher gilt.

Was bleibt trotzdem sichtbar?

Auch wenn wir uns alle sehr über den Schritt von WhatsApp freuen - der Nachrichtendienst, der seit 2014 zu Facebook gehört, lässt noch ein paar Lücken. Denn die Chats sind nicht anonym.

Bei der WhatsApp-Verschlüsselung werden nun zwar Nachrichten, Dateien und Anrufe verschlüsselt - nicht aber die sensiblen Metadaten, wie zum Beispiel, wer mit wem zu welcher Zeit kommuniziert und ob der Empfänger die Nachricht gelesen hat. Das zitiert Micah Lee auf Twitter. Er ist Journalist und Entwickler für Open Source Software und wurde damals auch von Edward Snowden kontaktiert. Er hat für ihn den Kontakt mit Laura Poitras hergestellt.

Awesome that @WhatsApp is encrypted, but keep in mind it doesn't hide who you're texting https://t.co/i8G61TUo9i pic.twitter.com/PbXN3IF8UJ — Micah Lee (@micahflee) April 5, 2016

Micah Lee beschreibt eine Lösung des Problems in einem Artikel für "The Intercept": Wenn beispielsweise das literarische Liebespaar Romeo und Julia digital Kontakt gehabt hätte und die Familien würden den Datenverkehr abfangen, wäre klar, dass die beiden kommunizieren, auch wenn man nicht weiß, was in den Nachrichten steht, weil diese verschlüsselt sind. Allein die Tatsache, DASS sie Kontakt haben, gefällt den Familien so gar nicht.

Sie brauchen also neue Identitäten, bei denen niemand weiß, dass dahinter Romeo und Julia stecken. Denn dann ist es egal, wenn jemand weiß, dass die Usernamen "Ceres" und "Eris" miteinander kommunizieren. Problem gelöst? Nein! Denn wenn beispielsweise der Computer von Julia komplett überwacht wird, und sich "jemand" auf diesem PC mit dem Usernamen "Ceres" einloggt, ist es leicht, die Verbindung herzustellen, dass sie dahinter steckt.

WhatsApp-Verschlüsselung: Kontakte zu verifizieren sorgt für mehr Sicherheit, aber nicht für eine anonyme Kommunikation.(© 2016 CURVED)

Was das Liebespaar also zusätzlich braucht, um wirklich sicher und unentdeckt zu kommunizieren, ist eine klare Trennung ihrer wahren Identität und den Aktivitäten unter ihren Pseudonymen. Die einfachste Möglichkeit ist dabei derzeit die Verwendung von Tor. Dieses dezentrale Netzwerk sorgt dafür, dass die Verbindung über verschiedene Knoten geleitet und verschleiert wird, sodass nicht ersichtlich ist, welche IP-Adresse man verwendet oder wo man sich aufhält. Den Tor-Browser bzw. das Tor-Netzwerk kann auch auf mobilen Geräten benutzt werden.

Außerdem sei noch gesagt, dass die WhatsApp-Verschlüsselung nur bis zu dem Moment gilt, bis Ihr die Nachricht empfangt. Wenn Euer Gerät jetzt mit Schadsoftware infiziert ist, ist es möglich die Nachrichten, Fotos und Sprachanrufe trotzdem zu sehen und zu hören - denn hier werden sie im Klartext angezeigt. Deshalb solltet Ihr nicht auf ein Antiviren-Programm verzichten, um Euer Gerät vor Fremdeinwirkung zu schützen.


Weitere Artikel zum Thema
Alte Status­mel­dung von WhatsApp soll als Tagline zurück­keh­ren
Supergeil !6Die neuen WhatsApp-Statusmeldungen gefallen offenbar nicht allen Nutzern
Hört WhatsApp auf seine Nutzer? In der aktuellen Beta des Messengers für iOS und Windows 10 Mobile finden sich Hinweise auf eine sogenannte "Tagline".
Diese Tools zeigen Euch, wie genau Face­book Nutzer­pro­file erstellt
Stefanie Enge
Data Selfie erstellt Persönlichkeitsprofile anhand der Facebook-Nutzung
Zwei Browser-Erweiterungen belegen eindrucksvoll, was Facebook über Euch trackt – selbst wenn Ihr das Social Network nur passiv nutzt.
Neue Bilder vom Galaxy Tab S3 bestä­ti­gen S Pen und Laut­spre­cher von AKG
Guido Karsten
Auf der Rückseite des Galaxy Tab S3 ist das Logo von AKG zu sehen
Samsungs nächstes High-End-Tablet wurde kurz vor Beginn des MWC 2017 erneut Ziel eines Leaks. Die Bilder verraten uns mehr über die verbauten Speaker.